На сетевом уровне ограничивается возможность доступа к определенным службам защищаемых хостов. Тип

службы, на которую направляется пакет, определяется параметром <порт назначения> в заголовке пакета

TCP или UDP (рис. 4.18), поэтому МЭ анализирует этот параметр, проверяя его соответствие установленным

Правилам фильтрации. Если пакет отвечает заданным условиям, то он пропускается дальше, в противном

Случае - отфильтровывается.

Bit - 16-bit

Source Port Number Destination Port Number

Bit 16-bit

Length Checksum Data

Рис. 4. 19. Формат UDP-пакета

В статье <Packet Fragmentation Attacks>, опубликованной в конференции All.net, доктор Коэи предложил

Следующий сценарий предполагаемой атаки, заключающейся в прохождении фрагмептироваиного пакета

Через Firewall без фильтрации. Взломщик разбивает пакет на два фрагмента, из них первый содержит

Фиктивный TCP- или UDP-заголовок с номером порта назначения, который не фильтруется межсетевым

Экраном (например, 25-й порт - почтовый SMTP-сервер), а второй имеет такое смещение (равное 1) в ноле

Fragment Offset, что перекрывает первый пакет и записывает в поле <порт назначения> истинное значение

Порта той службы, к которой доступ через МЭ запрещен.

- -----------------------------------------------------------------------

I С этой статьей д-ра Коэна [20] происходили с течением времени довольно любопытные изменения. В

Статье, которую авторы нашли на WWW-сервере all. net в мае 1996 года, для осуществления атаки предла-